Cryptolocker guida: cos’è e come prevenirlo

CryptoLocker è un pericoloso ransomware che ha prelevato più di 3 miliardi di dollari dalle sue vittime. Scopriamo come funziona e quali misure è necessario adottare per evitarlo.

Cos’è CryptoLocker?

CryptoLocker è una forma di malware noto anche come ransomware, progettato per costringere le vittime a pagare un riscatto per riprendere possesso del proprio dispositivo.

Si diffonde attraverso allegati e-mail dannosi che sembrano essere inviati da organizzazioni di fiducia e possono provocare danni irreparabili ai computer delle vittime.

Una volta installato, Cryptolocker sfrutta la crittografia forte per bloccare l’accesso al dispositivo e chiedere il pagamento di un riscatto in criptovaluta per ripristinarne l’accesso.

Storia di CryptoLocker

CryptoLocker è stato un particolarmente virulento malware che, tra settembre 2013 e maggio 2014, ha ricattato con successo decine di migliaia di utenti riuscendo ad estorcere circa 3 miliardi di dollari.

Tuttavia, l’operazione Tovar ha mostrato che era possibile rimuovere questa minaccia: una società di sicurezza informatica è riuscita a ottenere il database delle chiavi crittografiche di CryptoLocker ed a sviluppare un tool online per decrittografare i file senza pagamento di riscatto.

Il malware è diventato più complesso nel 2017, mettendo in difficoltà numerose aziende di piccole e medie dimensioni bloccando i loro computer.

Gli attacchi ransomware sono ancora molto diffusi e presentano nuove forme basate su attacchi più dettagliati e mirati che, in certi casi, possono essere difficili da mitigare dopo la loro infezione.

Secondo uno studio di Clusit, attualmente l’Italia è al secondo posto tra i Paesi più colpiti da attacchi ransomware.

Come funziona CryptoLocker?

CryptoLocker è un virus ransomware che viene diffuso attraverso e-mail di phishing (scopri cos’è il phishing) e botnet. I malintenzionati riescono a intercettare i dispositivi Windows quando l’utente apre un allegato a una mail maligna.

Qual è il veicolo dell’attacco cyber di CryptoLocker? L’attacco CryptoLocker è stato veicolato da un trojan, che è un particolare tipo di malware altamente pericoloso. Si diffonde attraverso l’apertura di messaggi e-mail sospetti o attraverso versioni di prova di programmi dannosi.

Una volta attivato, il malware si allinea agli altri tipi di ransomware (scopri come rimuovere il ransomware), scansionando il sistema alla ricerca di file importanti da crittografare tramite la crittografia asimmetrica.

Successivamente, gli utenti non potranno decrittografare i file se non pagheranno la somma richiesta dal malintenzionato in possesso della chiave di decrittazione.

CryptoLocker è progettato per sfruttare le funzionalità dei sistemi operativi Windows XP, Vista, Windows 7 e 8, ma non ha alcun effetto su dispositivi Apple, smartphone o tablet.

Quando la crittografia asimmetrica viene usata per scopi legittimi, entrambe le parti hanno accesso alla stessa chiave pubblica e ognuna ha la propria chiave privata per decrittografare i dati. Con CryptoLocker, tuttavia, il criminale informatico possiede sia la chiave pubblica che quella privata, rendendo particolarmente difficile decifrare i file crittografati.

In che modo un CryptoLocker rende non funzionante il personal computer della vittima? Una volta avviato, CryptoLocker inizia a criptare i file presenti sul sistema della vittima con una chiave di crittografia che non si trova su Internet. Di conseguenza, i file diventano inaccessibili finché non viene pagato un riscatto al malintenzionato.

Come rilevare CryptoLocker?

Un’infezione da CryptoLocker può essere rilevata attraverso varie anomalie: un gran numero di file anomali che si eseguono in autonomia sul proprio dispositivo, anomalie del traffico come l’accesso a siti web discutibili o un volume di traffico insolitamente elevato e chiamate sospette dell’interfaccia di programmazione dell’applicazione (API).

Mentre i software antivirus possono individuare la presenza del ransomware nei suoi primi stadi, è necessaria l’intervento di specialisti della sicurezza informatica per individuare tale malware nelle fasi avanzate.

Cosa sono i Locker virus? Il malware CTB-Locker, che deriva dal trojan CryptoLocker, è in circolazione in tutto il mondo e sta infettando migliaia di computer, anche in Italia. Il virus viene diffuso attraverso l’apertura di messaggi e-mail contenenti un tipo di file che, se aperto, può infettare il dispositivo.

Come rimuovere CryptoLocker?

Rimuovere il ransomware CryptoLocker può essere un processo complicato. Prima di tutto, è essenziale rilevare l’infezione nelle sue fasi iniziali, utilizzando software di sicurezza e analisi del traffico; successivamente, i dati crittografati dagli hacker devono essere decifrati.

Il modo migliore per farlo è disconnettere immediatamente il dispositivo infetto dall’alimentazione e da Internet non appena si nota l’infezione. Dopodiché, gli esperti possono procedere con la rimozione del ransomware o recuperare i file cifrati.

Norton Power Eraser è un programma gratuito che può aiutare a rimuovere CryptoLocker. Per utilizzarlo, devi scaricare e installare il programma, quindi avviarlo ed eseguire una scansione completa del sistema; al termine della scansione, vedrai un report delle minacce rilevate (controllando se c’è CryptoLocker) e premere “Sistema adesso” seguito da “Riavvia ora”.

Tuttavia, a volte il danno già causato dal programma malevolo diventa irreversibile: in questi casi, l’unica soluzione possibile è riformattare il disco rigido e reinstallare tutti i programmi.

Come proteggersi da CryptoLocker?

Proteggersi dal ransomware Cryptolocker richiede una serie di accorgimenti:

• Utilizzare un software di sicurezza affidabile e aggiornarlo regolarmente per avere sempre a disposizione i database più recenti.
• Evitare di cliccare su link o allegati sospetti.
• Non installare software da siti web non ufficiali.
• Prevedere delle copie di backup dei propri dati.
• Evitare di condividere le informazioni personali sui social network.
• Usare una rete Virtual Private Network (VPN) dotata di Threat Protection.

Se queste misure sono adottate in modo corretto, si può ridurre in modo considerevole, ma non eliminare completamente, il rischio di essere infettati da CryptoLocker.

Il ransomware CryptoLocker è una forma dannosa di malware che può rendere inutilizzabili i computer e costare alle vittime tempo, denaro e dati. Il modo migliore per proteggersi dall’infezione da CryptoLocker è quello di adottare misure preventive.